Zum Hauptinhalt springen
06.06.2019

Justizminister fordern Sicherheitslücken bei 5G

Justizministerinnen und Justizminister der deutschen Bundesländer fordern, dass beim neuen Mobilfunkstandard 5G Sicherheitslücken offengehalten werden, um Behörden das Überwachen der Telekommunikation zu erleichtern. Das gaben sie auf ihrer 90. Frühjahrskonferenz bekannt.

Konkret wird zum Beispiel die geplante Ende-zu-Ende-Verschlüsselung als Erschwernis für mögliche staatliche Überwachung gesehen. Weiter führen sie als mögliche Überwachungshindernisse die Authentifizierung wirklicher Basisstationen an, die IMSI-Catcher (Geräte, die sich für Mobiltelefone als optimale Basisstation ausgeben, von den Telefonen angewählt werden und deren Internationale Mobilfunk-Teilnehmerkennung speichern) wirkungslos machen würde, ferner die Tatsache, dass Endgeräte zum Teil untereinander und nicht über einen Provider kommunizieren sollen.

Aus einem Bericht bei Spiegel Online ging schon am 3. Juni hervor, dass die Ministerinnen und Minister sich so entscheiden wollten. Auch der Anti-Terror-Koordinator der EU hatte Anfang Mai in einem internen Dokument des EU-Ministerrats gefordert, die 5G-Netze bei Sicherheitsaspekten an den Bedürfnissen der Strafverfolger auszurichten, berichtete der ORF.

Die Diskussion über den Konflikt zwischen Behörden, die Sicherheitslücken nicht melden, um sie für eigene Ermittlungs- und Überwachungstechniken zu nutzen – auf der einen Seite – und der Sicherheit des Netzes sowie der Privatsphäre der Nutzer auf der anderen Seite, wurde zuletzt durch digitale Angriffe auf Computer der Stadt Baltimore wieder angefacht. Diese Angriffe nutzten unter anderem einen von der NSA geheimgehaltenen und später an Hacker verlorenen Exploit (Software, die Schwachstellen in einem Programm ausnutzt).

In Deutschland wird momentan viel über Forderungen nach zunehmenden Überwachungskompetenzen von Behörden diskutiert. So forderte das Bundesinnenministerium, staatliche Ermittler müssten in der Lage sein, auf unverschlüsselte Chatverläufe von Messenger-Diensten zuzugreifen. Auch berichteten Zeitungen des RND, die Innenminister der Bundesländer wollten Daten aus dem „Smart Home“, zum Beispiel Audiodatein von Siri oder Alexa, als Beweismittel verwenden dürfen. Diese Pläne wurden stark kritisiert und zum Teil als „Frontalangriff auf den Datenschutz“ bezeichnet.Die Forderungen der Justizministerinnen und Justizminister dürften die Diskussionen und die öffentliche Debatte über dieses Thema weiter befeuern.

 

Übersicht

     

  • Prof. Dr. Jörn Müller-Quade, Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), und Leiter des Kompetenzzentrums für angewandte Sicherheitstechnologie (KASTEL), Karlsruher Institut für Technologie (KIT)
  •  

  • Dr. Stephan Dreyer, Senior Researcher Medienrecht & Media Governance, Leibniz-Institut für Medienforschung | Hans-Bredow-Institut (HBI), Universität Hamburg
  •  

  • Prof. Dr. Thorsten Holz, Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum
  •  

  • Prof. Dr. Konrad Rieck, Institutsleiter Systemsicherheit, Technische Universität Carolo-Wilhelmina zu Braunschweig
  •  

  • Prof. Dr. Mathias Fischer, Juniorprofessor für IT-Sicherheit und -Sicherheitsmanagement, Fakultät für Mathematik, Informatik und Naturwissenschaften, Universität Hamburg
  •  

  • Prof. Dr. Markus Dürmuth, Leiter der Arbeitsgruppe Mobile Security, Ruhr-Universität Bochum
  •  

  • Prof. Dr. Anne Riechert, Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences, Frankfurt am Main, und wissenschaftliche Leiterin der Stiftung Datenschutz, Leipzig
  •  

Statements

Prof. Dr. Jörn Müller-Quade

Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), und Leiter des Kompetenzzentrums für angewandte Sicherheitstechnologie (KASTEL), Karlsruher Institut für Technologie (KIT)

„Wenn die Eingriffsmöglichkeiten der Ermittlungsbehörden zu einer Schwächung der Sicherheit führen, die von Verbrechern oder ausländischen Geheimdiensten ausgenutzt werden kann (oder dazu führt, dass Angriffe einfacher werden und in größerem Maßstab erfolgen), ist klar, dass Verbrecher dies nutzen werden und uns Industriespionage droht. Industriespionage oder Erpressung mit Zugriff auf die Infrastruktur, die dem autonomen Fahren, der Industrie 4.0 oder dem Internet of Things zugrundeliegt, ist eine riesige Bedrohung für unsere Zukunft.“

Auf die Frage nach dem Konflikt zwischen Sicherheit des Netzes und Ermittlungsbefugnissen der Behörden:
„Leider ist hier die Diskussion sehr stark polarisiert. In meiner Scientific Community (Kryptographen) ist jede Schwächung der Sicherheit von Übel, weil sie prinzipiell auch von Angreifern ausgenutzt werden kann. Selbst wenn nur bestimmte Behörden Zugriff hätten, wäre nicht gesichert, dass die Zugangsberechtigungen keinem Angreifer zugänglich würden. Dass ‚perfekte Sicherheit‘ auch eine ideale Infrastruktur für das organisierte Verbrechen wäre, spielt keine Rolle (mehr Geld für klassische Ermittlungsmethoden wird hier als Lösung gesehen). Die polarisierte Diskussion führt dazu, dass es keine Kompromisslösung gibt, die allen akzeptabel erscheint. Der derzeitige Stand ist, dass IT-Sicherheit und Ermittlungsbehörden gegensätzliche Interessen haben und gegeneinander arbeiten.“

Auf die Frage, inwiefern es technisch möglich ist, Ende-zu-Ende-Verschlüsselung zu umgehen, ohne sie komplett auszuhebeln:
„Dies ist eine sehr schwierige Frage. Streng genommen ist es natürlich ein Widerspruch ‚Ende-zu-Ende Verschlüsselung‘ zu wollen UND einen unbemerkten Eingriff durch Ermittlungsbehörden. Wenn man den Anspruch an Ende-zu-Ende Verschlüsselung aber etwas abschwächen würde, wäre es denkbar. Natürlich benötigt man zusätzliche Sicherheitsannahmen und es muss klar sein, ob die abgeschwächte Variante noch sicher genug ist. Eine denkbare Abschwächung wäre, dass ein Eingriff der Ermittlungsbehörden eine Art kryptographisches Siegel bricht und man diesen Eingriff vor Behörden, die die Ermittlungsbehörden kontrollieren, nicht geheim halten kann, weil ja das Siegel gebrochen wurde. Leider befürchte ich, dass solch eine Lösung politisch nicht gewünscht ist, weil man sich (mein persönlicher Eindruck) gerne auch völlig unbemerkte Eingriffe offenhalten will und da stört solch ein ‚Siegel‘.Wie man ein solches Siegel vertrauenswürdig realisiert, ist eine sehr interessante, aber leider in weiten Teilen auch offene Frage. Es wäre aber eine Möglichkeit, die man diskutieren könnte.“

Dr. Stephan Dreyer

Senior Researcher Medienrecht & Media Governance, Leibniz-Institut für Medienforschung │ Hans-Bredow-Institut (HBI), Universität Hamburg

Auf die Frage nach gesetzlichen Grundlagen staatlicher Überwachung:
„Eine systematische, ungezielte Überwachung von Telekommunikation ist dem deutschen Recht fremd und europa- wie verfassungsrechtlich hochproblematisch. Die gezielte Überwachung der Telekommunikation einzelner Personen ist dagegen ein gängiges und gesetzlich geregeltes Instrument der deutschen Sicherheitsbehörden. Insbesondere im Bereich der Verfolgung schwerer Straftaten können Inhalte abgehört, Positionsbestimmungen der verdächtigen Person vorgenommen und Verbindungsdaten sowie Vertragsinformationen vom Provider abgefragt werden. Das Strafprozessrecht verpflichtet die Mobilfunkanbieter dabei zu einer umfassenden Kooperationspflicht. Inwieweit die Provider dafür extra technische Vorkehrungen und Verfahren vorsehen müssen, bestimmt sich nach den Vorgaben des Telekommunikationsrechts. Mobilfunkanschlüsse und -geräte nahmen in den letzten Jahren den Großteil der angeordneten Überwachungen ein (2017: circa 20.000 Anordnungen im Bereich Mobilfunkkommunikation, circa 3.600 im Bereich Festnetzkommunikation [1]).“

Auf die Frage, inwiefern die Forderungen der Justizminister über bestehende Gesetze hinausgehen und ob die geforderten Maßnahmen Rechte von Bürgern verletzen könnten:
„Die technischen Spezifikationen des 5G-Netzes können bisherige behördliche Überwachungsmöglichkeiten erschweren. So können Inhaltsdaten etwa aufgrund der Ende-zu-Ende-Verschlüsselung oder einer Direktkommunikation zwischen zwei Endgeräten (D2D-Kommunikation) nicht ohne weiteres auf Ebene der Vermittlungsstellen oder beim Mobilfunkprovider abgehört werden. Auch können die faktischen Möglichkeiten der Mobilfunkprovider bei der Herausgabe von Verbindungsdaten aufgrund verschlüsselter Endgerätenummern (IMSI) erschwert sein. Die jetzigen sicherheits- und kriminalpolitischen Forderungen beziehen sich insoweit nicht auf einen Ausbau, sondern die Gewährleistung vergleichbarer Zugriffsmöglichkeiten der Sicherheitsbehörden auch in einem zukünftigen 5G-Netz.“

„Die Kehrseite dieser Forderungen ist, dass die Mobilfunkprovider sich dazu verpflichtet sehen könnten, die eigens zur erhöhten Kommunikationssicherheit entwickelten 5G-Spezifikationen absichtlich abzuschwächen und technische Verfahren zur besseren Abhörbarkeit einzubauen, die den jetzigen, weniger sicheren Mobilfunknetzen entsprächen. Diese bewusste Schwächung der Sicherheitsaspekte von 5G-Netzen zum Zweck der besseren Verfolgung von Straftätern träfe dann aber alle Bürgerinnen und Bürger gleichermaßen (und auch solche mit besonderen Geheimhaltungsinteressen und -pflichten wie Ärzte, Anwälte oder Journalisten). Insbesondere wäre bei einer absichtlichen Lockerung der Kommunikationssicherheit der neuen Mobilfunknetze nicht auszuschließen, dass auch böswillige Dritte diese Lücken beziehungsweise Abhörmöglichkeiten nutzten. Im Prinzip geht es also einmal mehr um die politische wie gesellschaftliche Grundabwägung zwischen Freiheit und Sicherheit.“

„Der rechtliche Rahmen der staatlichen Überwachung von Telekommunikation ist wegen seiner Grundrechtssensibilität und unterschiedlichen Gesetzgebungskompetenzen umfangreich und sehr ausdifferenziert. So finden sich Vorgaben unter anderem in den Polizeigesetzen in Bund und Ländern, in der Strafprozessordnung (StPO), im Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10-Gesetz) durch Nachrichtendienste des Bundes oder Landesbehörden für Verfassungsschutz sowie im Zollfahndungsdienstgesetz (ZFDG). Abwägungen zwischen Privatsphäre beziehungsweise Fernmeldegeheimnis der Bürgerinnen und Bürger einerseits und gesellschaftlichen wie staatlichen Interessen an einer effektiven Strafverfolgung von Straftätern andererseits sind komplex und jeweils abhängig von unter anderem der Schwere der Straftat, den Umständen der Kommunikation und der Tragweite sowie der Institution der Überwachungsanordnung. Die politischen Forderungen der Justizministerinnen und Justizminister und die jetzige Berichterstattung darüber ermöglichen einen gesellschaftlichen Diskurs – eine abschließende rechtliche Bewertung ist mangels konkreter Entwürfe von gesetzlichen Vorschriften aber nur begrenzt möglich.“

„Angesichts verfassungsrechtlicher Bedenken bei einer gesetzlichen Pflicht zur Vorhaltung staatlicher Hintertüren zur Entschlüsselung privater Kommunikation werden sich diese vor allem auf eine Ausweitung beziehungsweise Konkretisierung der Regelungen zur (ebenfalls nicht unumstrittenen) Vorratsdatenspeicherung beziehen, die die Speicherung der verschlüsselten Verbindungsdaten von Teilnehmern in 5G-Netzen vorsieht. Daneben wird, wenn das Abhören von verschlüsselten Inhalten auf Netzebene kaum mehr möglich ist, die Debatte über die jetzigen und zukünftigen Möglichkeiten der Quellen-Telekommunikationsüberwachung (insbesondere sogenannte ‚Staatstrojaner‘) wieder aufflammen. Die Verschlüsselungsproblematik bei 5G-Netzen ist dabei aber keineswegs neu, sondern betrifft bereits jetzt die Kommunikation über Messenger-Dienste, die Ende-zu-Ende-Verschlüsselung anbieten.“

„Was die angeblich eingeschränkte Nutzung von IMSI-Catchern angeht, so scheint das Authentifizierungsprotokoll in 5G-Netzen bereits entdeckte Schwachstellen aufzuweisen, die sich für die Telekommunikationsüberwachung nutzen ließen (siehe [2]). Dafür wäre aber die Anschaffung neuer Geräte erforderlich.“

„Insgesamt erscheinen nationale Forderungen nach der absichtlichen Schwächung von Sicherheitsfeatures eines Mobilfunkstandards angesichts der europa- und weltweiten Diskussionen um mögliche Sicherheitslücken von 5G-Netzen kontraproduktiv (siehe [3]).“

Auf die Frage, was nach diesen Forderungen jetzt passieren könnte:
„Je nach dem konkreten Wortlaut des Beschlusses könnten die Landesjustizministerinnen und -minister die Bundesnetzagentur, die derzeit die 5G-Frequenzen im Bietverfahren verteilt, zu der Berücksichtigung der gewünschten sicherheitspezifischen Ausnahmen auffordern. Hier ergibt sich allerdings gegebenenfalls das faktische Problem der Umsetzbarkeit der Änderungen der Versteigerungsbedingungen im laufenden Bietverfahren. Zudem ist die Bundesnetzagentur nicht an Beschlüsse von Landesministerinnen und -minister gebunden, sondern in erster Linie an das geltende Recht des Telekommunikationsgesetzes (TKG). Für die Änderung der relevanten Vorgaben im TKG müssten die Länder einen eigenen Gesetzesvorschlag zunächst über einen Mehrheitsbeschluss im Bundesrat in den Deutschen Bundestag einbringen. Ein solches Gesetzgebungsverfahren würde mindestens sechs bis acht Monate dauern.“

Prof. Dr. Thorsten Holz

Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

„Das Ziel von 5G ist die Etablierung einer vertrauenswürdigen Kommunikationsinfrastruktur, bei der die IT-Sicherheitsfehler vorheriger Generationen wie GSM oder LTE vermieden werden sollen. Entsprechend wurden verschiedene Sicherheitsaspekte überarbeitet und neue Sicherheitsmechanismen entwickelt, um eine sichere Kommunikation zu ermöglichen. Diese verbesserten Sicherheitsziele – insbesondere auch in Hinblick auf die Privatsphäre – sollten nicht einfach untergraben werden können.“

Auf die Frage nach dem Konflikt zwischen Sicherheit des Netzes und Ermittlungsbefugnissen der Behörden:
„Es gibt in diesem Themenbereich zwei sehr komplementäre Interessen: einerseits die Privatsphäre von Menschen als hohes Gut, dessen Schutz an erster Stelle stehen sollte. Nur eine vertrauenswürdige und sichere Kommunikation erlaubt eine freie Entfaltung im digitalen Leben. Andererseits haben verschiedene Behörden einen entsprechenden – auch durch Gesetzte legitimierten – Auftrag zur Erfüllung ihrer Ziele, eine Überwachung von Verdächtigen gehört dabei zu den Aufgaben von verschiedenen Behörden. Die dabei anzuwendenden Hürden sollten allerdings sehr hoch sein (beispielsweise durch entsprechende Gerichtsbeschlüsse) und es gibt neben der Überwachung von Kommunikationsinhalten diverse andere Möglichkeiten, insbesondere die Auswertung von Meta-Informationen (siehe Antwort auf die nächste Frage). In der Praxis zeigt sich immer wieder, dass Behörden auch unachtsam mit sensitiven Tools umgehen (beispielsweise geleakte NSA-Exploits, die dann von WannaCry und NoPetya genutzt wurden) und entsprechend müssen strikte Regeln zum Umgang mit Sicherheitslücken entwickelt werden.“

Auf die Frage, inwiefern es technisch möglich ist, Ende-zu-Ende-Verschlüsselung zu umgehen, ohne sie komplett auszuhebeln:
„Eine Ende-zu-Ende-Verschlüsselung bietet einen guten Schutz vor dem Ausspähen von Daten, weil die Nachrichteninhalte nicht mehr im Klartext übertragen werden. Dabei gibt es allerdings zwei Einschränkungen: Einerseits muss die Implementierung der Ende-zu-Ende-Verschlüsselung ebenfalls sicher sein und in der Praxis werden immer mal wieder Implementierungsfehler entdeckt, beispielsweise vor kurzem eine Sicherheitslücke in WhatsApp, mit deren Hilfe ein Angreifer das Telefon dann doch kompromittieren konnte. Andererseits werden Meta-Daten, also beispielsweise Informationen, wer wann mit wem kommuniziert oder wie lang die Nachricht war, oft nicht hinreichend geschützt und eine Analyse der Meta-Daten über die Kommunikation erlaubt ebenfalls Rückschlüsse über das Kommunikationsverhalten. Dennoch ist eine sichere Ende-zu-Ende-Verschlüsselung ein wichtiger Schritt in Richtung vertrauenswürdiger Kommunikationssysteme.“

Prof. Dr. Konrad Rieck

Institutsleiter Systemsicherheit, Technische Universität Carolo-Wilhelmina zu Braunschweig

„Mechanismen zur legalen Überwachung von Kommunikation schwächen leider immer auch die Sicherheit der Systeme. Dies liegt zum einen daran, dass diese Mechanismen selbst Verwundbarkeiten erzeugen können (wie zum Beispiel die absichtlich geschwächte Verschlüsselung des GSM-Standards). Zum anderen ist nicht klar, wie eine rechtmäßige Nutzung der Mechanismen sichergestellt werden kann. Es besteht die Gefahr, dass eingefügte Überwachungsfunktionen durch Dritte missbraucht werden.“

Auf die Frage nach dem Konflikt zwischen Sicherheit des Netzes und Ermittlungsbefugnissen der Behörden:
„Diese Abwägung ist schwer zu treffen. Die Ermittlungsbehörden verfügen jedoch bereits über starke Instrumente, wie die Onlinedurchsuchung und die Quellen-TKÜ (Quellen-Telekommunikationsüberwachung, eine Überwachung, die auf dem zu überwachenden Gerät selbst ansetzt und so zum Beispiel auch Gespräche bei Messengern vor der Ende-zu-Ende-Verschlüsselung abhören kann. Bekanntes Beispiel ist der sogenannte Staatstrojaner; Anm. d. Red.), die es ermöglichen, gezielt Kommunikation zu überwachen. Ich sehe daher keine Notwendigkeit, die Sicherheit von 5G-Netzen einzuschränken.“

Prof. Dr. Mathias Fischer

Juniorprofessor für IT-Sicherheit und -Sicherheitsmanagement, Fakultät für Mathematik, Informatik und Naturwissenschaften, Universität Hamburg

„Überwachungsschnittstellen gibt es bereits in den Mobilfunknetzen der aktuellen Generation bis 4G. Eine Reihe von Gesetzen regeln diese. Dass staatliche Stellen also nach einer Überwachung von 5G-Netzen streben, ist nachvollziehbar. Allerdings bieten 5G-Netze durch eine Ende-zu-Ende-Verschlüsselung einen deutlichen Sicherheitsgewinn gegenüber normalen Netzen. Ein gezieltes Abhören von Telefonaten und Kommunikation ist damit de facto unmöglich. Da 5G für viele kritische Einsatzzwecke gedacht ist, zum Beispiel autonomes Fahren oder die Vernetzung von Industrieanlagen, ist ein solcher Schutz unabdingbar. Jegliche Bestrebung, den Ende-zu-Ende-Schutz aufzuweichen, würde hier nicht nur die Tür für Strafverfolgungsbehörden, sondern gleichzeitig auch für dritte Parteien (zum Beispiel Kriminelle oder andere Staaten) öffnen. Es gibt keinen kryptografischen Ansatz, der Ende-zu-Ende-Sicherheit garantiert und gleichzeitig das Mitlesen durch Strafverfolgungsbehörden ermöglicht.“

„Auch die sogenannten IMSI-Catcher wären mit 5G nicht mehr möglich, da die IMSI, also eine eindeutige, das Endgerät identifizierende Nummer, nur noch verschlüsselt übertragen wird. Damit können staatliche Stellen keine Geräte mehr nutzen, die alle Endgeräte in der Nähe erfassen. Dies ist jedoch eine zu verschmerzende Einschränkung staatlicher Überwachung, da beispielsweise die Praxis, Teilnehmer kompletter Demonstrationen mit IMSI-Catchern zu erfassen, sowieso im Graubereich lag. Außerdem konnten IMSI-Catcher bisher nicht nur von offizieller Seite sondern letztlich von jedem mit entsprechendem technischen Wissen und leicht zu beschaffender Hardware eingesetzt werden. Mit 5G wird hier letztlich eine Lücke geschlossen, die es in Mobilfunknetzen so gar nicht hätte geben dürfen.“

Auf die Frage nach dem Konflikt zwischen Sicherheit des Netzes und Ermittlungsbefugnissen der Behörden:
„Eine Reihe von Gesetzen regeln bereits das Abhören von Kommunikationsdaten und dass Telekommunikationsbetreiber den Strafverfolgungsbehörden Abhörschnittstellen zur Verfügung stellen müssen. Diese Schnittstellen dürfen bei schweren Straftaten nach richterlichem Beschluss, bei Gefahr im Verzug oder schweren Straftaten abgefragt werden. Allerdings würde eine Verletzung der Ende-zu-Ende-Sicherheit hier einen nicht verhältnismäßigen Eingriff in die Sicherheit des 5G-Netzes darstellen, der im schlimmsten Fall auch Kriminellen oder anderen Ländern Zugriff auf solche Netze erlaubt.“

„Es ist zudem völlig unnötig, die 5G Ende-zu-Ende-Sicherheit zu opfern. Stattdessen können Strafverfolgungsbehörden nach wie vor Endgeräte direkt überwachen, zum Beispiel über den Bundestrojaner, um so die Daten vor der Ver- beziehungsweise nach der Entschlüsselung auszulesen. Außerdem können Strafverfolgungsbehörden in 5G trotz Ende-zu-Ende-Verschlüsselung immer noch die Metadaten der Kommunikation auslesen, also wer mit wem, wann und von wo kommuniziert.“

Auf die Frage, inwiefern es technisch möglich ist, Ende-zu-Ende-Verschlüsselung zu umgehen, ohne sie komplett auszuhebeln:
„Eine Ende-zu-Ende Verschlüsselung kann nicht umgangen werden, ohne diese unbrauchbar zu machen. Es gibt keinen sicheren kryptografischen Ansatz, der dritten Parteien einen kontrollierten Zugriff auf die verschlüsselte Kommunikation zwischen zwei Kommunikationspartnern erlaubt. Alle kryptografischen Ansätze, die man bisher mit diesem Ziel entwickelt hat, wurden gebrochen, oder eignen sich nicht für den praktischen Einsatz.“

Prof. Dr. Markus Dürmuth

Leiter der Arbeitsgruppe Mobile Security, Ruhr-Universität Bochum

„Die Sicherheit aktueller Mobilfunknetze ist vergleichsweise schwach. Die Probleme sind zahlreich: Für den aktuellen LTE Standard beispielsweise existieren zahlreiche Angriffsmöglichkeiten, die die Sicherheit grundlegend infrage stellen (zum Beispiel DNS spoofing, vergleiche [4]). Der aktuelle Entwurf des 5G Standards verspricht eine verbesserte Sicherheit und Privatheit und damit eine Verbesserung des Status quo.“

„Aufgrund des geplanten Einsatzes von 5G Netzen für Anwendungen wie IoT und Industrie 4.0 profitieren davon nicht nur Privatanwender, sondern insbesondere auch Firmen und Betreiber entsprechender Infrastruktur. Eine Schwächung des Standards bedarf daher einer besonders sorgfältigen Abwägung.“

„Umgehungsmöglichkeiten für Sicherheitsmechanismen wie beispielsweise Ende-zu-Ende Verschlüsselung bergen immer das Risiko, dass sie von Angreifern ausgenutzt werden und in illegitimer Weise benutzt werden können. Hintertüren, die garantiert nur für legitime Zwecke einsetzbar sind, sind technisch kaum zu realisieren.“

Prof. Dr. Anne Riechert

Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences, Frankfurt am Main, und wissenschaftliche Leiterin der Stiftung Datenschutz, Leipzig

„Grundsätzlich ist die Überwachung der Kommunikation in der Strafprozessordnung geregelt. So enthält diese beispielsweise Regelungen zur sogenannten Quellen-TKÜ, um Kommunikation vor ihrer Verschlüsselung auslesen zu können. Sowohl im Hinblick auf die Quellen-TKÜ als auch die Online-Durchsuchung werden jedoch verfassungsrechtliche Bedenken geltend gemacht.“

„Bei einer Ende-zu-Ende-Verschlüsselung müsste im Rahmen einer Überwachungsmaßnahme stets der Zugang zum Gerät vor Verschlüsselung und mittels eines Überwachungsprogramms sichergestellt werden, da ansonsten die Überwachung der laufenden Kommunikation nicht möglich ist. Soll den Strafverfolgungsbehörden allerdings eine vereinfachte Überwachung ermöglicht werden, müssten letztendlich die Anbieter verpflichtet werden, einen Zugang (auch) zu verschlüsselter Kommunikation sicherzustellen – wie bereits kürzlich von Seiten der Politik unter anderem mit Blick auf WhatsApp und andere Messenger-Dienste gefordert. Dies ist eine Frage, die alle Dienste betrifft, die eine Ende-zu-Ende-Verschlüsselung anbieten.“

„Nicht nur nach den Anforderungen der IT-Sicherheit sondern auch des Datenschutzes soll jedoch eine vertrauenswürdige Kommunikation möglich sein und personenbezogene Informationen verschlüsselt übertragen werden können. Die Ende-zu-Ende-Verschlüsselung (auch als Teil des 5G-Standards) würde dem Grundsatz ‚Datenschutz durch Technikgestaltung‘ entsprechen. Die Frage ist insgesamt, inwieweit die Interessen der Strafverfolgung tatsächlich den Interessen an Datenschutz und Datensicherheit überwiegen.“

Angaben zu möglichen Interessenkonflikten

Dr. Stephan Dreyer: „Es bestehen keine Interessenkonflikte.“

Prof. Dr. Thorsten Holz: „Soweit ich sehe besteht kein Interessenkonflikt in diesem Themenbereich für mich.“

Prof. Dr. Markus Dürmuth: „Interessenkonflikte bestehen nicht.“

Alle anderen: Keine Angaben erhalten.

Literaturstellen, die von den Experten zitiert wurden

[1] Bundesamt für Justiz (2019): Telekommunikationsüberwachungsstatistik. 

[2] Borgaonkar R et al. (2019): New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols. 

[3] Europäische Kommission (2019): Gemeinsames Vorgehen der EU bei der Sicherheit der 5G-Netze. 

[4] Holz T et al. (2019): Brea­king LTE on Layer Two.